Avec le Digital Services Act (DSA), l'Europe renforce son arsenal législatif pour protéger ses citoyens des abus et des dérives des fournisseurs de contenus et de services en ligne. Un règlement destiné à encadrer les pratiques des géants de la tech.

Mark Zuckerberg, le patron de Meta, et Elon Musk, le nouveau propriétaire de X (Twitter), n'en ont pas rêvé. Mais l'Europe l'a fait ! Et beaucoup de choses vont changer à compter de ce 25 août 2023, date à laquelle le DSA entre en vigueur.

Digne descendant du fameux RGPD, le DSA (Digital Services Act en anglais ou Législation sur les services numériques en français) est un nouveau cadre réglementaire européen qui, comme son cousin législatif le DMA (Digital Market Act, voir notre article), va profondément affecter nos vies numériques. Il vise à encadrer les services numériques pour "créer un espace numérique plus sûr où les droits fondamentaux des utilisateurs sont protégés". Le texte est censé s'appliquer aux entreprises à partir du 17 février 2024, mais les plus grandes plateformes, au nombre de dix-neuf (dont Apple, Google, Amazon, Microsoft ou encore Meta), sont concernées plus tôt. Elles ont donc jusqu'au 1^er janvier 2024 pour se mettre en conformité avec la nouvelle législation européenne, sous peine d'être sanctionnées. Voici concrètement tout ce qui va changer.

Digital Services Act : le complément du Digital Market Act

L'adoption d'un tel texte était plus que jamais nécessaire, tant l'arsenal législatif européen commençait à dater. Lutte contre la cyberviolence, lutte contre la contrefaçon, lutte contre la manipulation de l'information, protection de la liberté d'expression, responsabilisation des plateformes (Facebook, Google…) et des places de marché en ligne (Amazon…) : le DSA vise à mieux prévenir les dérives des grands groupes technologiques, en encadrant plus strictement leurs activités, mais aussi à mettre en place des règles de protection uniques qui s'appliqueront dans tous les pays membres de l'Union européenne et, par extension, dès que des internautes et des citoyens européens seront concernés. Après le RGPD, l'adoption successive du DMA et du DSA renforce l'image d'une Europe régulatrice de l'Internet, à défaut d'avoir été en capacité d'endiguer l'hégémonie technologique de pays comme la Chine ou les États-Unis. Comme disait Jean Cocteau : "puisque ces mystères me dépassent, feignons d'en être l'organisateur."

Comme le soulignait la rapporteure du texte au Parlement européen, Christel Schaldemose, le DSA a deux finalités : "garantir que ce qui est illégal hors ligne le soit également en ligne" et "fixer de nouvelles normes internationales grâce auxquelles les citoyens auront un meilleur contrôle sur la manière dont leurs données sont utilisées sur les plateformes en ligne et par les grandes entreprises technologiques". Sur X, Ursula von der Leyen, la présidente de la Commission européenne, avait estimé que "cet accord historique va protéger les utilisateurs en ligne, permettre la liberté d'expression et de nouvelles opportunités pour les entreprises".

DSA : quelles sont les plateformes et les services concernés ?

Le DSA va encadrer les "plateformes et intermédiaires en ligne" accessibles au sein de l'Union européenne. Cette liste inclut notamment les réseaux sociaux, les plateformes de partage de contenus, les moteurs de recherche, les marketplaces, les boutiques d'applications mobiles ou encore les sites de réservation de voyages et d'hébergements. Dans un premier temps, seulement dix-neuf entreprises et services de la tech, nommés "les très grandes plateformes", ont été sommés de se mettre en priorité en conformité avec le DSA d'ici son entrée en vigueur le 25 août (voir notre article). Sont concernés : Alibaba AliExpress, Amazon Store, Apple App Store, Bing, Booking.com, Facebook, Google Play, Google Maps, Google Search, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, X (anciennement Twitter), Wikipédia, YouTube et Zalando.

Le DSA s'appliquera à terme à tous les fournisseurs d'accès Internet (FAI), les services de cloud ainsi que toutes les plateformes en ligne. Bref, tous les services numériques seront concernés. Toutefois, ils bénéficient d'un délai supplémentaire et ont jusqu'au 17 février 2024 pour se conformer à la nouvelle législation. De plus, toutes les règles ne s'appliqueront pas à toutes les sociétés : des exceptions sont prévues en fonction de la taille des effectifs ou du chiffre d'affaires réalisé en Europe.

DSA : un cadre pour réguler les services numériques

Concrètement, voici ce que le DSA va changer pour les internautes français et européens. Tout d'abord, l'Europe va imposer un principe de transparence aux plateformes et aux services en ligne qui comptent plus de 45 millions d'utilisateurs sur le continent, en les contraignant à ouvrir leurs algorithmes – autrement dit, une grande part de leurs secrets de fabrication – tant aux États membres qu'à la Commission européenne. 

Mauvaise nouvelle également pour les plateformes qui réalisent une très grande partie de leur chiffre d'affaires via la publicité en ligne : les utilisateurs vont pouvoir mieux contrôler la manière dont leurs données personnelles sont utilisées et de nouvelles obligations en matière de transparence vont peser sur les plateformes. Ils vont ainsi être mieux informés de la manière dont les contenus leur seront recommandés (''systèmes de recommandation'') et ils vont pouvoir choisir au moins une option qui ne soit pas fondée sur le profilage. Par ailleurs, la publicité ciblée fondée sur des données sensibles (par exemple, l'orientation sexuelle, la religion ou l'origine ethnique) est désormais interdite.

Concernant les mineurs, et plus spécifiquement la protection des mineurs, les plateformes en ligne doivent prendre des mesures spécifiques, et notamment interdire toute publicité ciblée. Les très grandes plateformes – comprenez avant tout les réseaux sociaux comme Facebook et Twitter – vont également devoir évaluer et atténuer les risques systémiques et se soumettre chaque année à des audits indépendants. 

DSA : une protection renforcée pour les consommateurs européens

Du côté de la lutte contre la contrefaçon en ligne, l'Europe met la pression sur les places de marché et les grands acteurs du commerce en ligne. Ceux-ci vont devoir s'assurer que les consommateurs puissent acheter des produits et services en ligne sûrs, en renforçant les contrôles permettant de prouver que les informations fournies par les vendeurs sont fiables (principe de ''connaissance du client''), et ils devront faire des efforts pour prévenir l'apparition de contenus illicites sur leurs plateformes, notamment via des contrôles aléatoires. 

Autre élément important porté par le DSA, l'interdiction des "dark patterns", ces interfaces graphiques d'applications mobiles ou de sites Internet spécialement conçues pour tromper ou manipuler les utilisateurs en donnant, par exemple, plus d'importance à un choix particulier ou en incitant le destinataire à modifier son choix via des fenêtres pop-up gênantes (voir notre article). Sur ce point, au-delà de l'interdiction même de ce type de pratiques, le DSA pose le principe que, pour l'internaute consommateur, il devra être aussi facile de se désabonner d'un service que de s'y abonner. Le non-respect de ces obligations ouvrira un droit à compensation, c'est-à-dire le droit pour les utilisateurs, qui pourraient s'estimer lésés, à demander réparation "pour tout dommage en raison d'infractions commises", par les entreprises concernées.

DSA : vers une meilleure modération des contenus

Autre volet important, la régulation des contenus. Toutes les entreprises concernées vont devoir mieux réguler leurs contenus, davantage lutter contre la haine et la manipulation de l'information sur leurs plateformes ou moteurs de recherche respectifs. Ainsi, ils doivent mettre en ligne un outil de signalement afin que les utilisateurs puissent signaler un contenu illégal. Une fois le signalement effectué, ils doivent rapidement retirer ou bloquer son accès. Dans chaque pays, des "signaleurs de confiance", désignés au niveau national – comme la plateforme Pharos en France – vont être chargés de leur signaler les contenus, qui devront être bannis en priorité.

De plus, les plateformes vont devoir être plus transparentes en matière de modération, en permettant aux utilisateurs de suivre l'avancée de leurs demandes. En cas de bannissement d'un compte ou de suppression de contenu, les utilisateurs devront systématiquement connaître les détails d'une telle décision. Dernière mesure : en cas de crise, telle qu'un danger pesant sur la sécurité ou la santé publique, la Commission pourra exiger des très grandes plateformes qu'elles circonscrivent toute menace urgente sur leurs plateformes. Ces actions spécifiques seront limitées à une période de trois mois.

DSA : quelles sont les sanctions prévues en cas de non-respect ? 

Dans le cadre du DSA, la Commission européenne est la principale autorité de contrôle. Elle dispose du pouvoir exclusif d'exiger le respect des règles par les très grandes plateformes (celles disposant de plus de 45 millions d'utilisateurs), et est chargée de les surveiller et de les sanctionner, si nécessaire. Les autres services numériques seront placés sous la supervision des autorités nationales. Dans chaque pays, un coordinateur va être nommé pour faire le lien avec les autres États membres. Un conseil regroupera ces 27 coordinateurs afin d'arbitrer les potentiels conflits d'interprétation.

Pour les contrevenants et les récidivistes, c'est-à-dire les plateformes et les moteurs de recherche qui prendraient trop de libertés avec la nouvelle législation, l'Europe a prévu un régime de sanctions qui pourraient très rapidement s'avérer assez dissuasif. En guise de pénalité, les entreprises concernées pourront ainsi se voir infliger une amende pouvant aller jusqu'à 6 % du chiffre d'affaires mondial.

DSA : les géants d'Internet appliquent les premières mesures

TikTok a d'ores et déjà mis en place une série de mesures afin de se conformer à la législation européenne (voir notre article). Il a notamment mis en accès libre son interface de programmation (API) à des fins de recherche et proposé un fil d'actualité dépourvu de tout algorithme. Le réseau social prévoit également de définir par défaut les comptes des Européens âgés de moins de 16 ans comme "privés", et de mettre fin au ciblage publicitaire de ses utilisateurs mineurs afin qu'ils n'aient plus de publicités personnalisées basées sur leurs activités sur TikTok ou en dehors. Enfin, il compte s'améliorer quant à sa modération du contenu. 

Meta a lui aussi commencé ses mutations. Ainsi, leurs utilisateurs européens vont pouvoir choisir de désactiver l'affichage des "publications qui devraient vous plaire", ces contenus poussés sur leurs fils par les algorithmes et provenant de créateurs qu'ils ne connaissent pas. "Désormais, les utilisateurs auront la possibilité de ne voir que les stories et les Reels provenant des personnes qu'ils suivent, classés par ordre chronologique, de la publication la plus récente à la plus ancienne", annonce Nick Clegg, directeur des affaires publiques du groupe Meta. 

De son côté, LinkedIn a ajouté une option sur la page d'accueil permettant à l'utilisateur de choisir de faire apparaître des publications personnalisées ou non, tandis que Snapchat a annoncé qu'il allait permettre de désactiver la personnalisation du contenu basé sur le suivi et de limiter la personnalisation des publicités. La plateforme a également interdit la publicité personnalisée pour les utilisateurs âgés de 13 à 17 ans. Apple et X (Twitter) ont quant à eux promis de se conformer à la législation européenne.

Google a également mis en place plusieurs initiatives pour se mettre en conformité avec le DSA. Ainsi, il promet d'améliorer son centre de transparence pour les publicités, qui répertorie les pubs – dont celles qui sont ciblées – publiées sur les différents services de l'entreprise, afin de faciliter l'accès à l'information sur les politiques qu'il mène ainsi qu'à ses outils de signalement et à ses rapports de transparence. Les chercheurs vont également bénéficier, via des API, d'un accès plus large aux données du moteur de recherche, de YouTube, de Maps, de Google Play et de Shopping "pour promouvoir la compréhension publique de nos services" et "mener des recherches liées à la compréhension des risques systémiques de contenu dans l'UE". Enfin, la firme de Mountain View va communiquer aux régulateurs européens et aux auditeurs indépendants les risques de dissémination des contenus illicites, ainsi que les risques aux droits fondamentaux, à la santé publique et au discours public. Toutefois, il lui reste encore du chemin à parcourir pour être pleinement conforme à la nouvelle législation européenne… 

Mais tous les géants de la tech ne sont pas aussi complaisants. Ainsi, Amazon et Zalando contestent devant la justice le fait qu'elles soient considérées comme faisant partie des dix-neuf VLOP listées par Bruxelles en avril dernier. La firme de Jeff Besos reconnait être un acteur dominant à l'échelle mondiale, mais précise qu'il n'est le plus gros vendeur en ligne dans aucun pays européen, et que certains de ses rivaux affichent des volumes de ventes plus importants que les siennes. Toutefois, tant que l'affaire n'aura pas été jugée, Amazon et Zalando seront contraints d'appliquer le DSA.